Comprar curso YouTube Twitter LinkedIn

Cyber Kill Chain

La Cyber Kill Chain, desarrollada por Lockheed Martin, es un marco que ilustra las etapas secuenciales en un ciberataque. Este concepto se ha generalizado en la comunidad de seguridad cibernética para entender y defender contra amenazas avanzadas, descomponiendo la estructura del ataque en fases discernibles. Este capítulo profundiza en cada etapa, proporcionando un marco técnico y estratégico para comprender las tácticas, técnicas y procedimientos (TTP) de los ciberadversarios.

Fase 1: Reconocimiento

  • Definición: Identificación de objetivos, recolección de información pública y privada, y desarrollo de inteligencia para planificar futuros ataques.

  • Ejemplo técnico: Atacantes pueden emplear "scraping" en redes sociales y herramientas de OSINT (Inteligencia de Fuentes Abiertas) para recolectar datos sobre sus objetivos.

Fase 2: Desarrollo de Armas

  • Definición: Creación de un vector de ataque y producción de malware o herramientas adaptadas para explotar vulnerabilidades conocidas o desconocidas (zero-days).

  • Ejemplo técnico: Creación de un documento malicioso utilizando exploits para vulnerabilidades específicas de un software ampliamente utilizado.

Fase 3: Entrega

  • Definición: Implementación del vector de ataque, asegurando que el malware o la herramienta llegue al usuario o sistema objetivo.

  • Ejemplo técnico: Campañas de phishing que utilizan ingeniería social para persuadir a los usuarios de ejecutar el payload malicioso.

Fase 4: Explotación

  • Definición: Utilización de vulnerabilidades dentro del sistema objetivo para ejecutar código malicioso.

  • Ejemplo técnico: Explotar una vulnerabilidad en un navegador para ejecutar un shellcode.

Fase 5: Instalación

  • Definición: Establecimiento de una presencia sostenida en el sistema objetivo, instalando malwares adicionales o backdoors.

  • Ejemplo técnico: Despliegue de un RAT (Remote Access Trojan) para obtener control continuo sobre el sistema.

Fase 6: Comando y Control (C2)

  • Definición: Establecimiento de un canal de comunicación encubierto entre el malware y el adversario para guiar acciones posteriores en el sistema infectado.

  • Ejemplo técnico: Utilización de protocolos comunes y legítimos, como HTTP/HTTPS, para camuflar el tráfico de C2.

Fase 7: Acciones sobre Objetivos

  • Definición: Ejecución de la finalidad del ataque, que puede incluir espionaje, destrucción de datos, o la disrupción de procesos y servicios.

  • Ejemplo técnico: Ransomware que cifra datos críticos y demanda un rescate para su recuperación.

Contramedidas y Defensas Estratégicas

Es imperativo que cada fase de la Cyber Kill Chain sea comprendida no solo en términos de ofensiva sino también desde una perspectiva defensiva. Las estrategias y soluciones de seguridad deben ser implementadas en cada etapa para detectar, prevenir y mitigar los ataques.

  • Reconocimiento: Implementar políticas de privacidad y entrenamiento de concienciación de seguridad para limitar la exposición de información.

  • Desarrollo de Armas a Comando y Control: Utilizar soluciones de seguridad endpoint, actualizar y parchear sistemas regularmente, y emplear medidas de seguridad de red como IDS/IPS para detectar anomalías.

  • Acciones sobre Objetivos: Implementar copias de seguridad regulares, soluciones anti-ransomware, y estrategias de recuperación ante desastres para mitigar el impacto de los ataques.

AnteriorTransferencias de archivosSiguienteMITRE

Última actualización